Violation de données personnelles : définition

Qu’est-ce que la violation de données personnelles ?

‍

Une violation de données personnelles désigne tout incident qui entraînera, de manière accidentelle ou illicite, une perte de confidentialité, de disponibilité, ou d’intégrité des données personnelles. 

‍

Les violations de données sont de plus en plus courantes et de plus en plus massives : la CNIL a été notifiée de plus de 5 629 violations en 2024. Il peut aussi bien s’agir de cyberattaques, d’une fuite ou d’une perte. 

‍

Que faut-il faire en cas de violation de données ?

‍

Lorsqu’un organisme subit une violation de données, il est tenu de : 

‍

• documenter la violation dans un registre interne ;
• notifier la violation à la CNIL en cas de risque pour les personnes concernées dans un délai de 72 heures à compter de la connaissance de la violation ;
• notifier la violation de données aux personnes concernées en cas de risque élevé pour celles-ci, et ce dans les meilleurs délais. 

‍

Le niveau de risque dépendra notamment du type de violation ou de la nature des données concernées. 

‍

Selon les cas, d’autres mesures devront être prises, notamment en cas de cyberattaque (dépôt de plainte dans les 72 heures pour l’indemnisation par un assureur, etc.).